Dedies-Board (https://www.dedies-board.de/wbb2/index.php)
- Sicherheit (https://www.dedies-board.de/wbb2/board.php?boardid=6)
--- Sicherheitsnews (https://www.dedies-board.de/wbb2/board.php?boardid=7)
---- Sicherheitsnews-Archiv (https://www.dedies-board.de/wbb2/board.php?boardid=39)
----- Der Beweis!? New.Net nutzt Spyware-Methoden (https://www.dedies-board.de/wbb2/thread.php?threadid=930)

Geschrieben von DerBilk am 14.10.2005 um 09:45:

  Der Beweis!? New.Net nutzt Spyware-Methoden

Was viele längst zu wissen meinen, kann Ben Edelman nun auch per Video nachweisen.

Nach den Recherchen eines Forschers, der sich bereits seit längerem mit der Adware- und Spyware-Branche befasst, werden auf nicht optimal geschützten PCs mehr oder minder heimlich Programme von New.Net ("New Dot Net") installiert. Unerfahrenere Nutzer stehen der Installation der unerwünschten Beigaben meist hilflos gegenüber.

Das Geschäftskonzept von New.Net basiert auf der Bereitstellung von neuen, nicht offiziell anerkannten Top-Level-Domains und dem Verkauf von zugehörigen Domains. Wer Websites erreichen will, die unter diesen Domains abgelgt sind, benötigt eine zusätzliche Software, die sich die notwendigen Informationen von den Servern von New.Net holt.

Diese Software wird oft mit anderen Programmen gebündelt, die es im Internet zu Download gibt. Damit New.Net seine Domains verkaufen kann, ist es wichtig, dass sie von möglichst vielen Internet-Nutzern erreicht werden können. Dazu wird nach den Recherchen von Ben Edelman (http://www.benedelman.org), Doktorand an der Universität von Harvard, auch mit Methoden gearbeitet, die sonst aus dem Bereich Adware und Spyware bekannt sind.

Edelman weist in Videos, die er auf seiner Website bereit stellt , die heimlich und gegen den Willen des Nutzers erfolgende Installation der Software von New.Net nach. So besucht er etwa eine Website, die sich dem in den USA sehr beliebten Show-Sport Wrestling widmet und dokumentiert, was auf seinem Rechner so alles passiert.

Da werden so genannte "Browser Enhencements" installiert, obwohl der Benutzer auf eine Option klickt, die nach Ablehnung der Installation aussieht. Etliche Programmdateien werden auf die Festplatte geschaufelt und in der Registry eingetragen. Der Bildschirm füllt sich mit Werbe-Fenstern. Zum Einschleusen der Software werden gerne auch Sicherheitslücken im Internet Explorer ausgenutzt.

Ben Edelman wirft auch die Frage auf, wie sich solche Praktiken mit dem Anspruch von New.Net vertragen, als legitimer Dienst die Anerkennung der Internet-Verwaltung ICANN zu erhalten. Wie so oft in der Adware-Branche wird sich der Hersteller Pacimedia darauf berufen, dass unbotmäßige Geschäftspartner ("Affiliates") die Schuldigen seien und nicht er selbst.

Quelle


Geschrieben von cronos am 15.10.2005 um 00:52:

 

Zitat:
Nach den Recherchen eines Forschers, der sich bereits seit längerem mit der Adware- und Spyware-Branche befasst, werden auf nicht optimal geschützten PCs mehr oder minder heimlich Programme von New.Net ("New Dot Net") installiert. Unerfahrenere Nutzer stehen der Installation der unerwünschten Beigaben meist hilflos gegenüber.


Da hat der Forscher ja sensationelle Machenschaften entdeckt! großes Grinsen

Ich muß ins Bett-sorry! yes

Edit:

Ich hab den Text zuende gelesen!


Geschrieben von Cidre am 15.10.2005 um 01:00:

 

Naja, interessant ist es aber dennoch.

Allerdings macht mich folgendes stutzig:
Zitat:
My suspicions have recently been borne out, because I have repeatedly observed New.net installed via security hole exploits. See this video, made on October 2 in my testing lab.
Quelle: http://www.benedelman.org/news/100505-1.html

Ich gehe mal davon aus, daß es sich hierbei um den 2. Oktober 2005 handelt. Wenn man sich das angebotene Video ansieht, dann stellt man schnell fest, daß der vermeintliche 'Forscher' mit einer veralterten HJT Version (1.97.7) rumfuchtelt. Augen rollen


Geschrieben von dedie am 15.10.2005 um 20:09:

 

Passt irgendwie zum Thema:

Zitat:
World of Warcraft -- Spyware oder nicht?
Nach einem Blog-Posting von Greg Hoglund herrscht Aufruhr in den Blogs und Foren rund um das Online-Spiel World of Warcraft. Stein des Anstoßes ist eine Überwachungssoftware des Herstellers Blizzard Entertainment, die das Spiel vor Manipulationen schützen soll.

Wie Hoglund durch Reverse-Engineering herausgefunden hat, läuft dieser Wächter alle 15 Sekunden. Er liest zunächst die Fenstertitel aller laufenden Anwendungen aus, schickt sie durch eine Hash-Funktion und vergleicht das Ergebnis mit einer Liste von Hashes unerwünschter Programme. Sodann schaut das Programm in den Adressraum jedes im System laufenden Prozesses und bildet aus bestimmten Adressbereichen ebenfalls Hash-Werte, die es mit schwarzen Listen vergleicht. Entdeckt es Verdächtiges, so wird der Account des Spielers gesperrt.

In der im Internet geführten Diskussion sagen die einen, es handelt sich dabei eindeutig um Spyware, denn es gehört sich für eine Software einfach nicht, in andere Prozesse hineinzusehen, nicht in die Fenstertitel und schon gar nicht in den Adressraum. Die anderen argumentieren, dass die Software ja nichts ausspioniert. Sie läuft nur Client-seitig und sendet keine der untersuchten Daten im Klartext an den Server. Es ist nicht einmal erwiesen, dass Hash-Werte übermittelt werden.

Hersteller Blizzard Software hatte schon im August zur aufkeimenden Sicherheitsdiskussion Stellung genommen und auf die Nutzungsbedingungen verwiesen. Dort heißt es im Abschnitt 13:

A. WHEN RUNNING, THE WORLD OF WARCRAFT CLIENT MAY MONITOR YOUR COMPUTER'S RANDOM ACCESS MEMORY (RAM) AND/OR CPU PROCESSES FOR UNAUTHORIZED THIRD PARTY PROGRAMS RUNNING CONCURRENTLY WITH WORLD OF WARCRAFT. [...]

Wer World of Warcraft spielen will, muss sich also damit einverstanden erklären, dass das Spiel den Speicher seines Computers und andere Prozesse überwacht. (bo/c't)


QUELLE


Geschrieben von deoroller am 15.10.2005 um 20:12:

 

Ich war gerade auf der Adobe-Seite, um mir den neuen Reader 7.05 zu holen.
Wer da nicht aufpasst und zwei bereits angekreuzte Kästchen übersieht, bekommt zwei Tools hinzu, die man dann im Autostart hat.
Wie war das nochmal mit vormarkierten Zusätzen? grübeln

Außerdem kann man sich auch mal vor dem Installieren die "EULA" durchlesen, welche Adware man mit dazu aufs Auge gedrückt bekommt. Aber wer liest so was schon vorher. Augen rollen


Geschrieben von MobyDuck am 15.10.2005 um 21:28:

 

Zitat:
Wenn man sich das angebotene Video ansieht, dann stellt man schnell fest, daß der vermeintliche 'Forscher' mit einer veralterten HJT Version (1.97.7) rumfuchtelt. Augen rollen

Das ist Cidre live! großes Grinsen

Mich erstaunen diese Berichte nicht besonders.Jeder will nunmal mit dem Internet den schnellen Dollar machen. Obwohl es natürlich eine andere Sache ist, sowas auch mal aus halbwegs seriösen Quellen zu lesen.

Ich fühle mich jedenfalls bestätigt, nur noch per Linux ins Netz zu gehen. Noch.


Geschrieben von Cidre am 15.10.2005 um 21:42:

 

Zitat:
Das ist Cidre live!

Yo, das ist er. Petzauge

Für mich war das Video dann nach ca. 2 Min beendet, denn veralbern kann mich auch alleine, da braucht's keinen Forscher.

Zitat:
Ich fühle mich jedenfalls bestätigt, nur noch per Linux ins Netz zu gehen. Noch.
Zum jetztigen Zeitpunkt und auch in ferner Zukunft dürfte es wohl die sinnvollste 'Alternative' sein.


Geschrieben von MobyDuck am 15.10.2005 um 22:02:

 

OT
Kann das Video leider nicht gucken, da mein Player temporär kein WMV wiedergeben will. (Ubuntu-Update-Wehen) Ich arbeite dran, aber erstmal laufen WMP-Videos ohne mich. ich leide nicht drunter.


Geschrieben von Kampfhund am 16.10.2005 um 09:44:

  RE: Der Beweis!? New.Net nutzt Spyware-Methoden

Zitat:
Original von DerBilkhttp://www.benedelman.org

Ähm, eine Webseite, die sich mit Sicherheit beschäftigen will, und dann Javascript voraussetzt, kann man einfach nicht ernst nehmen.

Außerdem sind die Änderungen bei HiJackThis nicht so gravierend, daß die 1.97 nicht ihre Dienste tun würde. Mal vom Feature der O20er und den Diensten abgesehen.


Geschrieben von Cidre am 16.10.2005 um 16:42:

 

Zitat:
Original von Kampfhund
...Javascript voraussetzt, kann man einfach nicht ernst nehmen.

ACK.

Bzgl. HJT:
Es wurden schon noch weitere Veränderungen an HJT vorgenommen, als nur die O20 und O23 Einträge. Abgesehen davon, ist diese Vorgehensweise -unter Verwendung von veralterter Software- für mich nicht seriös.


Geschrieben von Hertener am 18.10.2005 um 23:36:

 

Zitat:
Original von Cidre
Zitat:
Das ist Cidre live!

Yo, das ist er. Petzauge


ACK. Erinnert(e) mich an meine veralterte Opera-Version. großes Grinsen Petzauge

EDIT: Hinweis für Außenstehende: Wenn der Text auf den ersten Blick unverständlich erscheint, so liegt es daran, dass wir hier Hausfrauen-Schnick-Schnack-Schnuck spielen. Wer seinen Stein im Brunnen des anderen, eingewickelt im Papier des dritten Mitspielers, ins Wasser plumpsen hört, der darf solche verwirrenden Postings inkl. Doppelzitat und ellenlanger Erklärung posten! Petzauge großes Grinsen


Geschrieben von Cidre am 18.10.2005 um 23:40:

 

Oh, hör' mir auf. großes Grinsen

Wenn ich daran denke, daß ich einige Std nach einen Fehler suchte, der gar nicht existent war und das nur, weil mein Supervisor keine aktuelle Opera Version verwendete. Petzauge fröhlich

Es hat nicht geschadet.

EDIT:
Besser kann man diesen Umstand wohl nicht umschreiben. rofl